В мире кибербезопасности появилась новая угроза — вредоносное ПО EDRKillShifter, используемое операторами вымогателя RansomHub. Этот инструмент представляет серьезную опасность, так как позволяет обходить современные системы защиты конечных точек (EDR) и получать контроль над целевыми устройствами.
Анатомия EDRKillShifter: как работает новая малварь
EDRKillShifter использует технику BYOVD (Bring Your Own Vulnerable Driver), доставляя на целевые устройства легитимные, но уязвимые драйверы. Эксперты Sophos обнаружили два варианта вредоносной программы, эксплуатирующие драйверы RentDrv2 и ThreatFireMonitor. Процесс атаки состоит из трех этапов:
- Запуск бинарного файла EDRKillShifter с паролем для расшифровки
- Распаковка и выполнение встроенного ресурса «BIN» в памяти
- Загрузка уязвимого драйвера для повышения привилегий и отключения EDR-процессов
После успешной загрузки драйвера, малварь входит в бесконечный цикл, постоянно сканируя и завершая процессы, связанные с EDR-защитой.
Особенности и происхождение EDRKillShifter
Анализ EDRKillShifter выявил несколько интересных деталей:
- Малварь способна доставлять различные полезные нагрузки
- Языковые свойства указывают на компиляцию на компьютере с русскоязычной локализацией
- Использованы легитимные драйверы и proof-of-concept эксплоиты, доступные на GitHub
- Код частично основан на модифицированных открытых proof-of-concept и портирован на язык Go
Как защититься от атак с использованием EDRKillShifter
Для противодействия угрозам, подобным EDRKillShifter, специалисты Sophos рекомендуют следующие меры:
- Включить защиту от несанкционированного доступа в продуктах для защиты конечных точек
- Разграничить права пользователя и администратора, чтобы предотвратить загрузку уязвимых драйверов
- Регулярно обновлять системы, так как Microsoft периодически отзывает подписанные драйверы, используемые в атаках
Появление EDRKillShifter демонстрирует постоянное развитие тактик киберпреступников и подчеркивает необходимость комплексного подхода к кибербезопасности. Организациям следует не только внедрять современные технические решения, но и постоянно обучать персонал, проводить аудиты безопасности и оперативно реагировать на новые угрозы. Только комбинация технических и организационных мер позволит эффективно противостоять современным киберугрозам.